Poświąteczny czas jest dobrym momentem na zmierzenie się z nieco trudniejszymi zagadnieniami RODO. Dziś kilka zdań na temat DPIA – czyli data protection impact assessment, oceny skutków dla ochrony danych. Temat o tyle istotny, że wiele osób myli DPIA z PIA – czyli oceną wpływu na prywatność (privacy impact assessment) czy z analizą ryzyka (formalnie szacowaniem i oceną ryzyka). 

Reklama

Czym jest DPIA? 

DPIA to akronim angielskich słów data protection impact assessment, a więc ocena (nie analiza) wpływu na ochronę danych. Przy czym od razu mamy pewien problem lingwistyczny, na który polskojęzyczni specjaliści nie zwracają szczególnej uwagi. A szkoda, bo jest dość istotny. 

W języku angielskim mamy kilka określeń dla polskiej “ochrony”. Jest to security np. cała sekcja 2 poświęcona ochronie danych osobowych, zaczynająca się od art 32. Ale jest też protection, który dotyczy ochrony danych (dokładniej wpływu na ochronę danych), z art 35. Czyli tematu dzisiejszego artykułu. Wbrew pozorom różnica jest kluczowa również dla samego celu wykonania procesu szacowania i oceny ryzyka oraz DPIA. 

Ochrona (security)  jest pełnym zestawem środków organizacyjnych i technicznych, zmierzających do uzyskania i utrzymania zaplanowanego (wskazanego) poziomu bezpieczeństwa, rozumianego jako stan niezagrożenia. Ochrona (protection) jest rozumiana w sposób węższy, ale za to bardziej szczegółowy i odnosi się do konkretnych, zawężonych obszarów ochrony. Np. fire protection (ochrona przed pożarem) jest pojęciem wąskim, który jest składową fire safety (bezpieczeństwa pożarowego). 

A jak jest w RODO?

W RODO zostało przyjęte nieco inne podejście, które bazuje na ryzyku naruszenia praw i wolności jako “zawężeniu obszaru” badania, choć nadal mowa jest o wyspecyfikowaniu obszaru. To wszystko jest nadal praca analityczna, która daje bazę do tworzenia systemu ochrony danych osobowych. Model jest analogiczny do modeli wskazywanych w bezpieczeństwie informacji, w normach rodziny ISO 27k

Mechanizmy szacowania i oceny ryzyka z ISO 27005/TR 13335-3

TR 13335-3 był prekursorem normy ISO 27005. W obu tych wydaniach wskazany został tzw. mieszany proces szacowania i oceny ryzyka, z którym mamy do czynienia w RODO:

  • Krok 1 – szacowanie ryzyka dla wszystkich operacji na informacjach, w celu identyfikacji skutków utraty atrybutów bezpieczeństwa np. dostępność, poufność, integralność trzymając się już tych opisanych w RODO (ISO 27k zawiera więcej atrybutów). Ta analiza jest wykonywana na dużym stopniu ogólności. I to jest działanie, dzięki któremu można wykazać zgodność z art 32 RODO (z art. 24 również, ale przyjmując jako zagrożenie – przetwarzanie danych niezgodnie z przepisami, czyli zgodność);
  • Krok 2 – szczegółowe oszacowanie i ocena ryzyka dla tych, które znajdują się powyżej progu akceptacji. Czyli takiego poziomu, jaki z punktu widzenia zarządzających organizacją jest nie do przyjęcia. W RODO ryzykiem powyżej progu akceptacji jest wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą. A więc tutaj mamy już działanie z art 35 – czyli DPIA. 
  • Krok 3 – którego niestety w RODO już nie ma tak wyraźnie zaznaczonego. Ocena ryzyka rezydualnego, szczątkowego, czy resztkowego (nazwa zależna od standardu, branży i sektora). Czyli takiego, które pozostaje po wdrożeniu środków kontroli przy użyciu strategii redukcji ryzyka i/lub transferu ryzyka, zwanego też outsourcingiem. Na tą ostatnią należy szczególnie uważać, bo bywa mocno złudna. Przeniesienie operacji przetwarzania na inny podmiot, ale w naszym celu przetwarzania nie oznacza przeniesienia odpowiedzialności za ich prawidłowość i bezpieczeństwo. 

DPIA technicznie

Art 35 wskazuje konkretne czynności do podjęcia. Wynikać może z wytycznych Urzędu Ochrony Danych Osobowych, który wskazuje rodzaje operacji wymagających DPIA, ale też może być wynikiem naszego własnego szacowania ryzyka i wskazania tych wysokiego ryzyka naruszenia ochrony danych osobowych (powyżej progu akceptacji). Kontynuując zasadę, w której zalecam stosowanie wystandaryzowanych narzędzi do podobnych operacji, w przebiegu DPIA wskażę te, które już opisałem na #RODOmaniakach lub niebawem będą opisane. Przebieg oceny w oparciu o art 35 RODO:

  • Krok 1 – opis celów i operacji przetwarzania (w RODO jest odwrotnie, ale nie bardzo sobie wyobrażam, jak opisać operacje najpierw, nie mając celu. Najpierw mam cel, a potem zastanawiam się co mi jest niezbędne aby go osiągnąć. Odwrotne podejście bywa zaklinaniem rzeczywistości). 
  • Krok 2 – ocena, czy operacje przetwarzania są niezbędne do osiągnięcia celu (jak wyżej prawda?). Tutaj z pomocą przychodzi nam narzędzie używane do nieco innego celu. Ocena uzasadnionego interesu administratora (LIA – liability interes assessment), która jest podstawą stosowania przesłanki z art 6.1.f. Opisałem w artykule Test równowagi czy… WAŻNE: wymaga drobnej modyfikacji. Zamiast oceny wg listy kontrolnej “czy dane są niezbędne do osiągnięcia celu”, należy dokonać oceny “czy operacje są nam potrzebne”. Uwaga techniczna. Jeśli mamy 6.1.f jako podstawę do DPIA stosujemy “LIA” wykonane dla tego celu i procesu. 
  • Krok 3 – ocena ryzyka naruszenia praw i wolności. Bardzo dobrym sposobem obrazowania skutków jest analiza drzewem zdarzeń (ETA – event tree analysis), opisana w tym artykule: Analiza ryzyka w RODO – BOW-TIE . WAŻNE: jeśli stosujemy przesłankę z art 6.1.f (uzasadniony interes administratora) należy ująć pełną ocenę “LIA” wraz z testem równowagi. 
  • Krok 4 – środki ograniczenia ryzyka (tak w skrócie), czyli wszystko to, co ma za zadanie “zaradzić ryzyku”. W tym miejscu również sprawdza się model BOW-TIE i jego warstwy zabezpieczeń. WAŻNE: należy pamiętać na tym etapie o przeniesieniu zabezpieczeń z działań na rzecz zgodności z art 32 RODO oraz… 

Krok 5 DPIA?

W tym momencie pojawia się element opisany już wyżej. DPIA nie powinno się kończyć na tym etapie, w którym działania i rozwiązania zostaną ZADEKLAROWANE bądź OPISANE. RODO wymaga skuteczności działań, dlatego dobrą praktyką (zalecaną przeze mnie) jest wprowadzenie oceny dla ryzyka rezydualnego (szczątkowego). Może się okazać, że mimo wszystko wdrożone zabezpieczenia NADAL NIE ZMNIEJSZAJĄ RYZYKA do poziomu akceptowalnego, czyli nie sprawdzają ryzyka poniżej “wysokiego ryzyka naruszenia praw i wolności”. Wtedy należy kroki 3 i 4 wprowadzić w “pętlę” i dotąd planować aż:

  • Uzyskamy poziom akceptowalny (pamiętając o wszystkich wymaganiach RODO, w tym też uwzględniając koszt); 
  • Nie uda nam się sprowadzić do poziomu akceptowalnego, czyli poniżej wysokiego ryzyka naruszenia praw i wolności. 

Dlaczego tak?

DPIA jest bardzo poważnym zagadnieniem, które ma wpływ na ochronę osób, których dane dotyczą. Dla uzasadnienia kroku 5 (pętla i rejestracja ryzyka niemożliwego do sprowadzenia) dwa cytaty:

Z preambuły

Motyw 84 (…) Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy skonsultować się z organem nadzorczym.

Z przepisów

Art 36.1.   Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

Jak widać, DPIA jest podstawą właściwego działania w przypadku, gdy operacje przetwarzania są związane z wysokim ryzykiem naruszenia praw i wolności. Co prawda polski organ nadzorczy jak na razie skupia się na dość prostych naruszeniach, wydaje się jednak że z każdym kolejnym rokiem, każdą kontrolą, kontrole te będą coraz bardziej precyzyjne i profesjonalne. Świadczy o tym treść decyzji w sprawie Morele.net. Mimo, że w niektórych momentach zdarzyło się w treści “popłynąć o kilka wioseł za daleko” (narzucanie rozwiązań, a nie ocena istniejących) o tyle uzasadnienie było naprawdę merytoryczne. 

Kilka uwag o DPIA

  • DPIA nie jest PIA. Prawo do prywatności jest tylko jednym z wielu praw osoby, której dane dotyczą. 
  • Po zakończeniu procesu należy pamiętać o ryzyku rezydualnym (szczątkowym), które pozostaje po wdrożeniu zaplanowanych zabezpieczeń. I warto wejść w pętlę Kroku 3 i Kroku 4. 
  • Art 35 nie wyłącza stosowania art 32. On go uszczegóławia. A więc testy i sprawdzenia w celu wykazania skuteczności zabezpieczeń w przypadku operacji objętych DPIA są wręcz PRIORYTETOWE!